「GDPR」条文解説、“罰金2000万ユーロ”を科されないためにやるべきことは？：今からでも間に合う「GDPR」対策【第2回】（1/2 ページ）

EU一般データ保護規則「GDPR」の適用対象となるのは、どのような企業なのか。場合によっては2000万ユーロにもなる制裁金を科されないようにするには、何をすべきなのか。条文の内容を基に確認します。

[持田広志，デロイト トーマツ サイバーセキュリティ先端研究所]

　前回「いまさら聞けない『GDPR』（一般データ保護規則）の真実　“罰金2000万ユーロ”の条件は？」は、欧州連合（EU）の一般データ保護規則、いわゆる「GDPR」（General Data Protection Regulation、以下GDPR）とは何かについて論じてきました。第2回となる今回は、GDPR適用の範囲と、GDPRで制裁金を科されないために必要な対策を考えていきます。

GDPR適用の範囲

　GDPRの適用となるのは、どのような事業者でしょうか。GDPRは、個人データの処理行為の種類を基に、適用対象になるかどうかを規定しています。GDPR第3条第1項は、適用対象となる行為として「EU域内の事業所での活動に関連してなされる個人データの処理（the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union）」を挙げています（丸かっこ内の英文はGDPR原文の引用、以下同じ）。日本法人から見ると、EU域内に設立した子会社など現地拠点での個人データの処理が該当します。

　EUに拠点がない事業者でも、EU在住の個人データを処理する場合にGDPR適用となる場合があります。GDPR第3条第2項（a）は「EU在住のデータ主体に対する商品またはサービスの提供（the offering of goods or services,＜中略＞　to such data subjects in the Union）に関連した個人データの処理」をGDPR適用対象の行為として挙げています。これは日本法人からEU在住の人に対して、インターネット経由で商品の通信販売をしたり、サービスを提供したりしている場合が該当します。

　ここでいう商品、サービスに関しては、対価の有無を問わないことになっています（irrespective of whether a payment of the data subject is required）。そのため無料のインターネットサービスを提供している場合でも、GDPR適用の対象となる可能性があります。さらに同項（b）によると、商品／サービスの提供の有無にかかわらず「EU域内で行われるデータ主体の行動の監視（the monitoring of their behaviour as far as their behaviour takes place within the Union）に関連した個人データの処理」もGDPR適用対象になると定めていることに注意が必要です。

併せて読みたいお薦め記事

連載：今からでも間に合う「GDPR」対策

• いまさら聞けない「GDPR」（一般データ保護規則）の真実　“罰金2000万ユーロ”の条件は？

GDPRについてもっと詳しく

• 施行迫るGDPR　“72時間ルール”に企業が警戒すべき理由
• GDPR対策にデータ追跡と暗号化が必須な理由
• EUの「一般データ保護規則」（GDPR）、施行日までに確認すべきポイントは

GDPRの制裁金

　自社がGDPRの適用対象になるとして、制裁金を科されないためには何をしたらよいのでしょうか。まず必要な対策について洗い出すことから始めます。条文上、管理者と処理者に制裁金が科される条項を確認すると、第83条（制裁金の一般条件：General conditions for imposing administrative fines）に記載があります。この内容をまとめたものが、以下の表です。